Le CERT dédié à la communauté Industrie, Services et Tertiaire française

Accès membres [english version]

ACCUEIL PRESENTATION PUBLICATIONS ADHESION CONTACTS FAQ RECHERCHER

Avis de Sécurité

Avis et Alertes publics Articles du Cert-IST Liens utiles Presse - Evénements Version imprimante		Accueil | Ressources | Avis et Alertes publics | Avis de sécurité Vulnérabilité dans le service "Serveur" de Microsoft Windows (MS08-067) Référence : CERT-IST/AV-2008.460 Version : 2.1 Date de la version : 27 octobre 2008 Classification de la vulnérabilité Risque : Très élevé Conséquence : Prise de contrôle du système Catégorie de la vulnérabilité : Débordement de mémoire Niveau de confiance : Faille officielle Niveau de connaissance de l'attaquant : Connaisseur Moyen nécessaire à l'attaquant : Accès distant (sans compte) sur un service standard Information sur le(s) système(s) impacté(s) Plate(s)-forme(s) impactée(s) : Windows 2000 SP4 Windows XP SP2 et SP3 Windows XP Professional x64 Edition et Windows XP Professional x64 Edition SP2 Windows Server 2003 SP1 et Windows Server 2003 SP2 Windows Server 2003 SP1 (Itanium) et Windows Server 2003 SP2 (Itanium) Windows Server 2003 x64 Edition et Windows Server 2003 x64 Edition SP2 Windows Vista et Windows Vista SP1 Windows Vista X64 Edition et Windows Vista X64 Edition SP1 Windows Server 2008 pour les systèmes 32-bit, 64-bit et Itanium Logiciel(s) impacté(s) : Service "Serveur" (netapi32.dll) Description Contexte de publication :  [Version 2.0] Cet avis a été réémis en version 2.0 le 24/10/2008 suite à la publication du Danger Potentiel CERT-IST/DG-2008.009 et l'élévation du niveau de risque (de Elevé à Très élevé). Des solutions palliatives et des moyens de détection ont également été ajoutées.  Nature du problème : Une vulnérabilité a été découverte dans le traitement des requêtes RPC par le service "Serveur" des systèmes Microsoft Windows. Elle permet à une personne malveillante de prendre à distance le contrôle d'un système vulnérable.  Nota :  Selon Microsoft, cette vulnérabilité est déjà exploitée (attaques ciblées) sur Internet. Sous Windows Vista et Windows Server 2008, l'exploitation de la vulnérabilité requiert une authentification. Contexte technique : Le service "Serveur" des systèmes Microsoft Windows fournit à ces derniers un support pour les RPC ("Remote Procedure Call"), le partage des canaux ou tubes nommés ("named pipes") et le partage des ressources locales (fichiers et imprimantes via le protocole SMB - "Server Message Block"). On peut noter également que certains services Windows conçus avec des procédures RPC peuvent utiliser des tubes nommés SMB comme couche/moyen de transport. Analyse détaillée : Cette vulnérabilité est due à un débordement de mémoire lors du traitement des requêtes RPC par le service "Serveur" (netapi32.dll). Elle permet à un attaquant distant, en envoyant des requêtes RPC spécifiquement construites, d'exécuter du code arbitraire avec les privilèges "SYSTEM" sur un système vulnérable. Solution 01 - Appliquer les correctifs de Microsoft (KB958644) concernant la vulnérabilité du service "Serveur" de Windows Des correctifs sont disponibles pour les différentes plates-formes impactées. Se reporter au bulletin de sécurité Microsoft MS08-067 pour obtenir le correctif approprié. Les correctifs décrits dans ce bulletin de sécurité de Microsoft annulent et remplacent ceux décrits dans le bulletin MS06-040 (Cf. avis CERT-IST/AV-2006.315). Bulletin de sécurité de Microsoft MS08-067 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx 02 - Appliquer des mesures palliatives pour empêcher l'exploitation de la vulnérabilité du service "Serveur" Filtrer les ports TCP 139 et 445 sur les équipements réseau situés en périphérie du réseau local et/ou à proximité des systèmes Microsoft Windows vulnérables. Maintenir à jour les signatures des anti-virus (une telle attaque pourrait se répandre via un ver ou un virus). Nota : Une solution temporaire peut éventuellement être de désactiver le service "Serveur" des systèmes vulnérables. Cependant cette solution entraîne des effets de bord non négligeables. Par exemple : impossibilité de partager des ressources (répertoires, imprimantes), impossibilité d'être administré à distance via les outils classiques de Microsoft. 03 - Outils et signatures permettant la détection de la vulnérabilité et de son exploitation Les signatures suivantes permettent de détecter des tentatives d'exploitation de cette vulnérabilité (liste non exhaustive). Plugin Nessus #34476 permettant la détection des systèmes vulnérables http://www.nessus.org/plugins/index.php?view=single&id=34476 Mise à jour de l'éditeur NAI - fichier DAT 5414 du 10/24/2008 http://www.mcafee.com/us/enterprise/downloads/index.html Symantec Initial Rapid Release version October 23, 2008 revision 040 http://www.symantec.com/business/security_response/definitions/download/index.jsp Signature de CA 31.6.6167 http://www3.ca.com/support/vicdownload/ Règles snort détectant l'exploitation de la vulnérabilité (MS08-067) http://www.snort.org/vrt/advisories/vrt-rules-2008-10-23.html Identifiant(s) du problème Microsoft: KB958644 CVE: CVE-2008-4250 CERT/CC: VU#827267 Documentation additionnelle Avis de sécurité de Microsoft MS08-067 du 23 octobre 2008 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx Post dans le blog SWI de Microsoft du 23 octobre 2008 http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx Avis de sécurité de l'US-CERT TA08-297A du 23 octobre 2008 http://www.us-cert.gov/cas/techalerts/TA08-297A.html Avis de sécurité de Nortel 2008009147 du 28 octobre 2008 http://www116.nortel.com/pub/repository/CLARIFY/DOCUMENT/2008/43/024190-01.pdf Historique Version Commentaire Date 2.1 Plugin pour Nessus (#34476) 27 octobre 2008 2.0 Elévation du niveau de risque et ajout des solutions temporaires 24 octobre 2008 1.0 Création de l'avis 23 octobre 2008

Copyright © 1999-2012 Cert-IST | Mentions légales | Plan du site